立法會議員 葛珮帆
政府部門及公營機構(gòu)近年接二連三發(fā)生外洩市民個人資料事故��,引起公眾對私隱安全問題的關(guān)注����。無論如何��,這接連事件已充分反映涉事人員對網(wǎng)絡安全及保護個人私隱方面不夠重視和意識不足�����。筆者認為�����,時至今日,資訊系統(tǒng)已成為政府各個部門業(yè)務運作的核心�,部門管理層實在不能只把其資訊系統(tǒng)視作單純技術(shù)問題,只交給技術(shù)團隊或服務承辦商處理����,而應該直接對其資訊系統(tǒng)加強監(jiān)督。
繼公司註冊處及機電工程署後�����,消防處日前亦公布發(fā)生有外洩消防處屬員和市民個人資料風險的事故����。綜觀近年選舉事務處、數(shù)碼港��、消委會、公司註冊處及機電工程署等先後發(fā)生的同類事件�����,出現(xiàn)市民個人資料外洩的原因主要是管理及人為因素���。據(jù)此��,本人提出以下四項建議:
一���,鑒於相關(guān)事件發(fā)生後,各政府部門和公營機構(gòu)多遲遲未有通報個人資料私隱專員公署��、媒體及受害人�,情況並不理想,同時�,亦反映各政府部門及公營機構(gòu)對網(wǎng)絡安全的重視程度及執(zhí)行力不足,因此��,當局應就事故進行徹查並追究責任�����。
二�����,現(xiàn)時政府各部門均設(shè)有部門資訊科技保安主任及資訊保安事故應變小組,分別領(lǐng)導該部門的整體資訊保安管理�����,和處理日常所有事項����,以準備、偵測和應對所有資訊保安事件及事故��。當局應責成各政府部門首長及資訊科技部門須對其電腦系統(tǒng)的保安工作問責,以保障系統(tǒng)網(wǎng)絡及資訊安全,如發(fā)現(xiàn)有人為疏忽或違規(guī)��,相關(guān)人員須作紀律處分���。
密切監(jiān)察網(wǎng)絡保安威脅
三���,目前所有政府資訊科技項目在系統(tǒng)上線前,必須進行「保安風險評估和審計」(SRAA)��,但SRAA並沒有評估系統(tǒng)是否向公眾披露過多和不必要的個人數(shù)據(jù)����,因此���,政府有必要在所有資訊科技項目中引入「隱私數(shù)據(jù)評估和審計」,以確保系統(tǒng)不會向公眾披露過多和不必要的個人數(shù)據(jù)���。
四���,未來「數(shù)字政策辦公室」須密切監(jiān)察網(wǎng)絡攻擊的趨勢和保安威脅,適時發(fā)出警報通知�����,並提高各政府部門網(wǎng)絡及資訊安全的即時應變能力和防範意識���。
此外�,單就機電工程署洩漏疫情時「圍封強檢」期間收集的17000名市民個人資料事故���,筆者強調(diào)��,政府部門不應把個人私隱數(shù)據(jù)長期儲存在雲(yún)端系統(tǒng)�����,若因情況緊急�,亦應把儲存時間盡量縮短,涉事人員完成數(shù)據(jù)處理後��,應盡快移除數(shù)據(jù)�����。政府亦應督促各部門安排指定人員定期監(jiān)測及監(jiān)管涉及個人私隱敏感數(shù)據(jù)的存儲���,以定期刪除敏感個人數(shù)據(jù)��,並就數(shù)據(jù)安全進行內(nèi)部演練�,主動識別和解決潛在風險或漏洞��,強化安全防護能力�����。
頂圖圖源:中通社
